Den europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) publicerade den 18 december 2024 ett yttrande (28/2024) som ger vägledning om hur personuppgifter bör hanteras vid utveckling och användning av AI-modeller. Yttrandet, som är ett svar på en förfrågan från den irländska dataskyddsmyndigheten, tar upp flera centrala frågor kopplade till AI och GDPR.
När kan en AI-modell anses vara anonym?
En av de viktigaste frågorna i yttrandet gäller AI-modellers anonymitet. EDPB framhåller att en modell som tränats på personuppgifter inte automatiskt kan anses vara anonym – bedömningen måste göras från fall till fall. För att en AI-modell ska betraktas som anonym ska det vara mycket osannolikt att någon, direkt eller indirekt, kan identifiera de personer vars data använts för att utveckla modellen. Vidare måste risken för att någon ska kunna extrahera personuppgifter från AI-modellen vara försumbar, även med beaktande av alla rimliga medel som kan tänkas användas. I yttrandet ges förslag på kriterier för att kunna visa att uppgifterna är anonymiserade.
Organisationer som vill åberopa anonymitet för sin AI-modell måste därmed kunna visa att deras modell uppfyller dessa krav genom grundliga tester och tydlig dokumentation. EDPB betonar bland annat vikten av att analysera modellens design och att genomföra omfattande tester för att säkerställa att personuppgifter inte kan identifieras, varken direkt eller indirekt.
Intresseavvägning som rättslig grund
En annan central fråga i yttrandet är vilken rättslig grund i GDPR som kan användas för att behandla personuppgifter i samband med utveckling och användning av AI-modeller. Enligt EDPB kan grunden intresseavvägning i vissa fall användas av organisationer som vill behandla personuppgifter under utvecklings- och/eller användningsfasen. Det förutsätter att intresset är berättigat, att behandlingen är nödvändig, och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre än den personuppgiftsansvariges intresse.
EDPB fäster härvid stor vikt vid de registrerades rimliga förväntningar av behandlingen av deras personuppgifter och ökad transparens. I yttrandet presenterar EDPB kriterier för att göra en bedömning av enskildas rimliga förväntningar.
Konsekvenser av olaglig behandling
EDPB:s yttrande behandlar även konsekvenserna av att personuppgifter behandlas i strid med GDPR under utvecklingsfasen. Olaglig behandling av personuppgifter vid utvecklingen av en AI-modell kan få betydande följder för dess fortsatta användning. EDPB betonar att även den efterföljande behandlingen kan anses vara olaglig om den ursprungliga behandlingen inte sker i enlighet med GDPR.
Hur påverkas ditt företag?
Yttrandet är en del av EDPB:s fortsatta arbete med att säkerställa att utveckling och användning av AI-modeller sker i enlighet med GDPR:s principer. Aktörer i AI-leverantörskedjor som kan vara personuppgiftsansvariga under utvecklings- och/eller användningsfasen av en AI-modell bör noggrant beakta dessa riktlinjer i sitt arbete och överväga att implementera dem i sina policyer för AI. För mer information om EDPB:s yttrande eller behandling av personuppgifter och AI, kontakta mig eller någon av mina kollegor.
-
Advokat, Senior Associate
073 094 21 66
